比特币钱包应用Blockchain最近出现严重漏洞,多个系统用户竟然在不知情的情况下共享同一个比特币钱包,加密系统形同虚设。开发者赶忙迅速发布更新弥补漏洞。
使用安卓4.1及更老版本系统运行Blockchain的用户会受到此次漏洞波及。公司表示:”漏洞根源在于某一特定地址在软件中被重复采集,导致部分用户账户资金受损。”
Blockchain建议受波及用户更新应用程序,创建新比特币地址,并将其资金从受影响的电子钱包中转出。
这次事件显然是一系列系统开发错误叠加而成的最坏结果。通常,比特币钱包会随机生成一个公共地址以及相关联的私人密钥。随机生成的公共地址必须足够’随机’才能保证相关联的私人密钥不被猜到。
为此,Blockchain使用两种来源的随机数,采用双保险的加密方法:地址一部分来源于安卓系统内部的随机数生成器,另一部分则源于Random.org的随机生成服务。
而,一部分手机(据传闻,索尼Xperia系列设备就在其内)内置的安卓随机数生成器与Blockchain应用程序连接失败。一般情况下,这种情况出现时也不会有太大问题,因为还有第二道壁垒:Random.org的随机生成服务。
但在今年1月4日,Random.org为提高网络安全性,要求所有访问均通过加密链接完成。而Blockchain应用程序却仍在通过未加密链接继续访问该站点。因此,事与愿违,Blockchain无法获得随机数据,而是一直在获得相同的错误代码,告知该站点已经被移走。
Blockchain就一直在使用该错误代码作为随机数据生成比特币地址。
Blockchain应用程序发言人表示:”这一现象极为罕见,’随机’生成的比特币地址完全相同(也就是说,生成的公共地址同时被不止一个相关联的私人密钥使用)。所以我们立即披露了有关问题,,发布应用修复更新。”
Blockchain拒绝承认此次事件导致了整个加密系统的崩溃,并表示”只有很少数用户受到影响;据了解只有三位用户向我们进行了相关反馈。Blockchain的用户数量高达三百五十万,因此相较来说,漏洞波及范围非常窄。”
此次事件震动信息安全业。
中英对照原文请点击
www.weiyangx.com
